Здравствуйте, Working Class Hero, Вы писали:
WCH>Здравствуйте, Flying Dutchman, Вы писали:
FD>>Не все компании такие. Например, в компании, где я работаю, подавляющее большинство программистов имеет возраст 40-45 лет. Одному программисту 50 лет. Еще у нас есть программистка 62 лет. У нас есть только один программист (точнее программистка) моложе 40 — ей 32 года. (Мне лично 44 года).
FD>>Такие дела.
WCH>Ну рад за вас (искренне), видимо, коллектив хороший.
Коллектив у нас очень хороший, гораздо лучше среднего голландского коллектива.
WCH>Кстати, судя по инфо, вы не из России. Я свои выводы делал для России, в первую очередь, за границей поработать не довелось. У нас тут любят ограничения по возрасту лепить в требованиях.
У нас ограничение по возрасту в объявлениях на работу нет, потому что это запрещено законом. Но дискриминация по возрасту присутствует, и еще какая. Хотя меня это касается в меньшей степени, потому что я работаю не на постояной работе, а фрилансером-контрактером. Поэтому смотрят не на мой возраст, а на мои знания.
WCH>Кстати, и молодежи у вас в компании почти нет, что тоже любопытно.
У нас было пару лет назад несколько программистов моложе 30, так что все в порядке .
Здравствуйте, De-Bill, Вы писали:
WCH>>Ну рад за вас (искренне), видимо, коллектив хороший. Кстати, судя по инфо, вы не из России. Я свои выводы делал для России, в первую очередь, за границей поработать не довелось. У нас тут любят ограничения по возрасту лепить в требованиях. Кстати, и молодежи у вас в компании почти нет, что тоже любопытно.
DB>Стареет Европа . Я когда в Голландии был в командировке, на меня вообще как на ребёнка смотрели .
Ага, учатся они дольше, детей заводят позже и на пенсию уходят позже. Помню, когда я сюда впервые попал, для меня было удивительным то, что университет здесь люди заканчивают значительно позже, чем у нас, а некоторые годам к 30.
K>Вы хоть бы поездили по миру прежде, чем своё невежество тут публично показывать
вот поэтому программистов нельзя допускать до собеседований. Менеджера в первую очередь будет интересовать, будут ли понимать кандидата англоязычные коллеги/заказчики, и будет ли кандидат понимать их. Программист же постарается найти изъяны в знания, даже если эти изъяны в знаниях собеседующего.
Здравствуйте, Alexander Magnit, Вы писали:
AM>saproj пишет: >> http://www.friendly-ware.com/VadimMotorineResume/MotorineRu.html
AM>Причем если просто читать что он пишет, получается намного увереннее и AM>убедительнее чем если смотреть видео.
гм, я кажется начинаю понимать почему на мои письма HR отвечали практически во всех случаях, причем, не отписками "мы вам позвоним", а довольно развернутыми и не шаблонными дискуссиями. наверное, потому что я писал конкретному HR в конкретную компанию осмысленный текст, который можно было читать от начала и до конца.
резюме такое же небрежное как и видео. о чем я говорил выше. но за видео мне возразили -- камера вдруг не его, не удобно владельца камеры напрягать. ну ладно. ну над резюме можно хоть поработать?
читаю резюме. ой брешет, ой брешет... "Большой опыт в криптографии..." ну, знаете, если чувак действительно разбирается в крипто, то он один из тех немногих гуру, на которых все буквально молятся. если же его знания сводятся к тому... кстати, вот тут создатель md5 пишет кое что интересное: http://mail.python.org/pipermail/python-dev/2005-December/058850.html песец криптографии. точнее тем идиотам, которые ее бездумно применяли. вот, допустим, антивирус опознает exe файл по md5, который сломали и теперь куча антивирусов рыдают ибо можно дописать к файлу несколько байт и у вируса получится такое же md5 как у файла из белого списка. вот такая беда, да. и даже правительство штатов забило болт на md5 и sha1 как не секьюрные. и меня шеф обрадовал -- грит нам срочно нужна новая хэш функция. я хотя в криптографии ни хвоста не разбираюсь (и мои посты вы ру.крипто в фидо вызвали кучу насмешек), но работу делать надо? надо. скрещиваю ежа с ужом. zlib + md5 и хакеры идут лесом. ну я там еще и скремблер прикрутил для пущей страсти. и все. теперь это хрен взломаешь. а, да. забыл. в base64 тоже преобразовал. exe -> zlib -> base64 -> md5. вопрос -- ну и как теперь менять этот exe файл, чтобы получить такую же md5 как у файла из белого списка? воздейстовать-то можно только на exe, а zlib меняет exe трудно предсказуемым образом, а base64 не позволяет юзать непринтабельные символы для паддинга. и это мое ламерскоре решение без знания крипто.
далее. _доказательств_ в резюме обычно предоставлять не надо. тем более косвенных. доказательства будут на собеседовании и тестах. и тут чем меньше перечислил пунктов в резюме -- тем больше шансов устроиться на работу. а тут у него в кучу свалено все с чем он хоть как-то соприкасался.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, koandrew, Вы писали:
K>Здравствуйте, blackhearted, Вы писали:
B>>Он бы хоть степени сравнения прилагательных изучил перед тем, как писать
K>Вы хоть бы поездили по миру прежде, чем своё невежество тут публично показывать
ну-ну... при чём тут поездили по миру к размещённым в интернете описаниям программного продукта?
Давайте еще 4 писать вместо for или какие-то диалектные слова употреблять.
> кстати, вот тут создатель md5 пишет кое что интересное: http://mail.python.org/pipermail/python-dev/2005-December/058850.html песец криптографии. точнее тем идиотам, которые ее бездумно применяли. вот, допустим, антивирус опознает exe файл по md5, который сломали и теперь куча антивирусов рыдают ибо можно дописать к файлу несколько байт и у вируса получится такое же md5 как у файла из белого списка.
Дописать несколько байт к файлу — это брехня. Эта задача решена для CRC32, который можно подделать изменив любые четыре байта подряд в файле. Для хэш функций есть две задачи:
1) Preimage — требуется найти данные хэш функция которых равна заданному числу.
2) Collision — требуется найти два набора данных которые имеют одинаковый MD5.
Проблема 1 для MD5 не решена. Если Вы думаете иначе, то приведите пожалуйста вектор MD5 которого равен 00000000000000000000000000000000 или FFFFFFFFFFFFFFFFFFFFFFFFFFFFFFFF
Проблема 2 решена частично. Можно модифицировать определенные байты вектора таким образом что значение MD5 останется неизменным. Коллизии известны.
Эксплойты есть, например
Windows version:
hello.exe. MD5 Sum: cdc47d670159eef60916ca03a9d4a007
erase.exe. MD5 Sum: cdc47d670159eef60916ca03a9d4a007 http://www.mscs.dal.ca/~selinger/md5collision/
Это не совсем реальный пример, но Вы правы, MD5 не может использоваться в качестве подписи. Для SHA1 есть куча документов как искать коллизии и оценка сложности их поиска но пока нет ни одного найденного примера.
Резюме, для MD5 коллизий найдено много, для full SHA1 пока ни одной коллизии не найдено. Поиск их ведется, но пока безуспешно. Рано или поздно конечно найдут, но трудоемкость очень высока
Здравствуйте, Handie, Вы писали:
>> кстати, вот тут создатель md5 пишет кое что интересное: http://mail.python.org/pipermail/python-dev/2005-December/058850.html песец криптографии. точнее тем идиотам, которые ее бездумно применяли. вот, допустим, антивирус опознает exe файл по md5, который сломали и теперь куча антивирусов рыдают ибо можно дописать к файлу несколько байт и у вируса получится такое же md5 как у файла из белого списка.
H>Дописать несколько байт к файлу — это брехня. Эта задача решена для CRC32, который можно подделать изменив любые четыре байта подряд в файле. Для хэш функций есть две задачи:
H>Резюме, для MD5 коллизий найдено много, для full SHA1 пока ни одной коллизии не найдено. Поиск их ведется, но пока безуспешно. Рано или поздно конечно найдут, но трудоемкость очень высока
это с математической точки зрения. а с практической -- гос. конторы для которых мы пишем софт присылают нам радостный дайджест, что авторитетные умы человечества в лице правящих чинов высокого ранга наложили запрет на использование sha1/md5 как "ненадежных" и сказали переделать ту часть нашего продукта, где используется md5. поскольку, люди, ответственные за сертификацию, сами экспертами по криптографии не являются, то они тупо сверяют список заявленных характеристик с формальным списком требований к продукту, который спускают сверху чиновники.
а потому мне не совсем понятно, что значит "разбираться в критографии". очевидно, что разработать функцию наподобии md5 под силу единицам на планете. а правильно применить уже существующие наработки -- достаточно читать спецификации и думать головой.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
Здравствуйте, мыщъх, Вы писали:
>>> кстати, вот тут создатель md5 пишет кое что интересное: http://mail.python.org/pipermail/python-dev/2005-December/058850.html песец криптографии. точнее тем идиотам, которые ее бездумно применяли. вот, допустим, антивирус опознает exe файл по md5, который сломали и теперь куча антивирусов рыдают ибо можно дописать к файлу несколько байт и у вируса получится такое же md5 как у файла из белого списка.
есть такая буква.
H>>Дописать несколько байт к файлу — это брехня. Эта задача решена для CRC32, который можно подделать изменив любые четыре байта подряд в файле. Для хэш функций есть две задачи: H>>Резюме, для MD5 коллизий найдено много, для full SHA1 пока ни одной коллизии не найдено. Поиск их ведется, но пока безуспешно. Рано или поздно конечно найдут, но трудоемкость очень высока
In recent years, several of the non-NIST approved cryptographic hash functions have been successfully attacked, and serious attacks have been published against SHA-1.
М>это с математической точки зрения. а с практической -- гос. конторы для которых мы пишем софт присылают нам радостный дайджест, что авторитетные умы человечества в лице правящих чинов высокого ранга наложили запрет на использование sha1/md5 как "ненадежных" и сказали переделать ту часть нашего продукта, где используется md5. поскольку, люди, ответственные за сертификацию, сами экспертами по криптографии не являются, то они тупо сверяют список заявленных характеристик с формальным списком требований к продукту, который спускают сверху чиновники.
и правильно сделали — к взлому SHA1 уже несколько лет как подбираются, просто до конца чистых (см выше) решений нет, зато есть способы (т.е. делая все правильно) позволяющие даже без принятия новых стандартов усложнить задачу до пока еще приемлемого уровня для успешного противодействия появляющимся атакам. То, что вариантов с уменьшением времени, необходимого на подбор решения и криков "Я нашел!" стало появляться достаточно много — факт. Вот к примеру реакция NIST на попытку еще от 2005го.
Поэтому NIST и давно уже рекомендует SHA-2 + активно работает над SHA-3, хотя и держит пока SHA-1 в списке из 5 approved algorithms для дайджестов.
При этом в разделе
Additional Information
NIST is currently conducting a competition to develop a new cryptographic hash algorithm. For more infomation on this competition and other hash related issues please see the Cryptographic Hash Project page.
January 13, 2011: NIST announces the completion of Special Publication (SP) 800-131A, Transitions: Recommendation for Transitioning the Use of Cryptographic Algorithms and Key Lengths. This Recommendation provides the approach for transitioning from the use of one algorithm or key length to another, as initially addressed in Part 1 of SP 800-57. SP 800-131B, Transitions: Validation of Transitioning Cryptographic Algorithms and Key Lengths, is under development and will address the validation of cryptographic modules during the transition period.
видим полезный свежачок-с.
М>а потому мне не совсем понятно, что значит "разбираться в критографии". очевидно, что разработать функцию наподобии md5 под силу единицам на планете. а правильно применить уже существующие наработки -- достаточно читать спецификации и думать головой.
Ага. И поэтому нужно указывать источники по которым проходил обучение и практику. Список литературы + конкретные проекты и решенные в их рамках задачи. А потом уже можно разговаривать "как решал" и "а почему именно так" и "а как еще можно было" и т.п.
... << RSDN@Home 1.2.0 alpha 4 rev. 1481>>
Valery A. Boronin, RSDN Team, linkedin.com\in\boronin
R&D Mgmt & Security. AppSec & SDL. Data Protection and Systems Programming. FDE, DLP, Incident Management. Windows Filesystems and Drivers.
Здравствуйте, sux, Вы писали:
AV>>Позволю дать маленький совет. Не приводи в качестве примера то, о чем ничего не знаешь.
sux>давая подобные советы, потрудись раскрыть тему
А что там раскрывать. Человек про работу врачей практически ничего не знает. И выдает сюда лишь свои фантазии.
Здравствуйте, ambel-vlad, Вы писали:
AV>А что там раскрывать. Человек про работу врачей практически ничего не знает. И выдает сюда лишь свои фантазии.
Ух, какая тут дискуссия. Что собственно не устроило в моем сообщении ("если у хирурга его навык (резать) требуют при трудоустройстве в первую очередь")?
Про работу врачей знаю как пациент бывший, которого резали неоднократно, по довольно серьезному поводу (травматология), уж не зубы лечил.
Здравствуйте, Working Class Hero, Вы писали:
AV>>А что там раскрывать. Человек про работу врачей практически ничего не знает. И выдает сюда лишь свои фантазии.
WCH>Ух, какая тут дискуссия. Что собственно не устроило в моем сообщении ("если у хирурга его навык (резать) требуют при трудоустройстве в первую очередь")?
То что это не соответствует действительности.
WCH>Про работу врачей знаю как пациент бывший, которого резали неоднократно, по довольно серьезному поводу (травматология), уж не зубы лечил.
То есть фактически ты ничего не знаешь про работу врачей. Потому что ты видишь лишь внешнюю часть.
Здравствуйте, ambel-vlad, Вы писали:
AV>То что это не соответствует действительности.
Почему не соответствует? Поясните. Только не надо говорить, что хирург должен обладать широкими знаниями — это и так понятно. Но если у него руки хронически трясутся, то оперировать он не сможет — верно?
AV>То есть фактически ты ничего не знаешь про работу врачей. Потому что ты видишь лишь внешнюю часть.
Ну хорошо. Расскажите о своих познаниях про работе врачей. Может у вас образование медицинское есть? Расскажите про работу хирургов, интересно. И еще: давайте все-таки на "вы", давно отвык я на форумах на "ты" общаться.
Здравствуйте, Working Class Hero, Вы писали:
AV>>То что это не соответствует действительности.
WCH>Почему не соответствует? Поясните. Только не надо говорить, что хирург должен обладать широкими знаниями — это и так понятно.
Даю подсказку. Резать можно кучей различных способов. И те способы что были в ходу 20 лет назад могут и не применяться сейчас. Опять же важно не само умение резать, а умение выбрать каким способом резать. И еще один момент. Сейчас стараются использовать менее инвазивные способы. Например, лет 20 назад мениск оперировали чуть ли не разобрав колено, а сейчас этот способ практически не используется. А используют артроскопию. В результате старый навык резать уже не требуется.
WCH>Но если у него руки хронически трясутся, то оперировать он не сможет — верно?
И какое отношение имеют тремор к навыкам?
AV>>То есть фактически ты ничего не знаешь про работу врачей. Потому что ты видишь лишь внешнюю часть.
WCH>Ну хорошо. Расскажите о своих познаниях про работе врачей. Может у вас образование медицинское есть?
Не, я не врач. Но у меня жена врач. И время от времени приходится тусоваться с врачами.
WCH>И еще: давайте все-таки на "вы", давно отвык я на форумах на "ты" общаться.
Здравствуйте, мыщъх, Вы писали:
М>читаю резюме. ой брешет, ой брешет... "Большой опыт в криптографии..." ну, знаете, если чувак действительно разбирается в крипто, то он один из тех немногих гуру, на которых все буквально молятся. если же его знания сводятся к тому... кстати, вот тут создатель md5 пишет кое что интересное: http://mail.python.org/pipermail/python-dev/2005-December/058850.html песец криптографии.
Зачем ты подменяешь понятия? Большой опыт в криптографии — это не значит, что он способен разработать хэш-функцию лучше, чем md5, это значит, что человек применял существующие алгоритмы и знает их особенности. Как минимум не будет хранить пароль в открытом виде или придумывать самопальный алгоритм, который любой криптоаналитик вскроет как семечки.
По такой логики из резюме вообще всё убрать можно.
"Так, тут написано, что вы хорошо знаете С++, назовите пожалуйста список хороших компиляторов, которые вы разрабатывали. Или хотя бы патч делали."
Здравствуйте, Working Class Hero, Вы писали:
AV>>А что там раскрывать. Человек про работу врачей практически ничего не знает. И выдает сюда лишь свои фантазии.
WCH>Ух, какая тут дискуссия. Что собственно не устроило в моем сообщении ("если у хирурга его навык (резать) требуют при трудоустройстве в первую очередь")? WCH>Про работу врачей знаю как пациент бывший, которого резали неоднократно, по довольно серьезному поводу (травматология), уж не зубы лечил.
Тут на перекуре вспомнилась одна история. Давно уже, лет 5-7 назад зашла беседа насчет профессий. И мой швагер, ныне уже бывший, выдал классную фразу. "Хорошо вам программистам, научился программировать и всю оставшуюся жизнь сиди в теплом офисе и нажимай на кнопки". Один в один совпадает с твоим описанием. Только профессии разные.
Здравствуйте, alzt, Вы писали:
A>Здравствуйте, мыщъх, Вы писали:
A>Зачем ты подменяешь понятия? Большой опыт в криптографии — это не значит, что он способен разработать хэш-функцию лучше, чем md5,
а какой опыт у самих создателей md5? варианты: а) большой; б) маленький. ("огромный" просьба не предлагать). "большой опыт" по любому означает, что у человека есть какие-то наработки в этой области (иначе откуда опыт сын ошибок трудных?). что это за наработки, что за области...
A> это значит, что человек применял существующие алгоритмы и знает их особенности.
какие алгоритмы применял? про какие особенности знает? в частности, знает ли он про "суету вокруг md5 и sha1", для чего недостаточно простого чтения литературы десятилетней давности -- тут нужно отслеживать новости и быть в курсе событий.
A> Как минимум не будет хранить пароль в открытом виде
"а придется" (с)
вот тут в ТЗ написано -- принуждать юзера к смене пароля и не давать выбирать пароль используемый ранее или _похожий_. но это еще цветочки.
A> или придумывать самопальный алгоритм, который любой криптоаналитик вскроет как семечки.
не факт. атаки на популярные криптоалгоритмы хорошо отработаны, что упрощает атаку. есть даже аппаратные реализации и уже предвычисленные таблицы. скажем, если у вас храниться хэш от пароля в виде md5, то по этому самому md5 я быстро восстановлю кучу паролей. а вот если это не md5, а какой-то "самопал"...
A> По такой логики из резюме вообще всё убрать можно.
не только можно, но и _нужно_. "я крутой, я специалист, я с опытом" это просто мусор, отбрасываемый автоматом, потому как громкость заявлений обратно пропорциональна реальным достижениям и обычно чем больше достижений тем резюме скромнее.
americans fought a war for a freedom. another one to end slavery. so, what do some of them choose to do with their freedom? become slaves.
.
вот поэтому программистов нельзя допускать до собеседований. Менеджера в первую очередь будет интересовать, будут ли понимать кандидата англоязычные коллеги/заказчики, и будет ли кандидат понимать их. Программист же постарается найти изъяны в знания, даже если эти изъяны в знаниях собеседующего.
